Featured image of post CVE-Hunters, A Jornada de Aspirantes à Pesquisadores de Vulnerabilidades
Segurança Cibernética Pesquisa De Vulnerabilidades CVE Hunters Segurança De Código Aberto Educação Em Segurança Testes De Intrusão

CVE-Hunters, A Jornada de Aspirantes à Pesquisadores de Vulnerabilidades

Como um projeto brasileiro está revolucionando a forma de ensinar cybersecurity através da prática real

Introdução

Na #DEFCON33, uma das conferências de segurança mais prestigiadas do mundo, Natan Morette apresentou o projeto CVE-Hunters, que representa uma mudança fundamental na forma como abordamos a educação em cybersecurity, transformando o dilema clássico da falta de experiência, em uma oportunidade concreta de aprendizado.

Com 116 CVEs publicados, 170 vulnerabilidades descobertas e 20 membros ativos em menos de um ano, o b>CVE-Hunters é um modelo replicável que está mudando vidas e melhorando a segurança de sistemas usados por milhões de pessoas.

Durante suas aulas, Natan se deparava constantemente com a mesma pergunta:

“Como obtenho experiência prática em segurança cibernética?”

O Problema da Experiência em Cibersegurança

A resposta incluía duas opções:

  • Participar de CTFs:

Os CTFs criam um "mindset de competição" diferente do mundo real, focando em resolver desafios artificiais, que não simula a complexidade de sistemas em produção.

  • Estudar para certificações:

As certificações, por sua vez, são caras e se concentram na teoria, sem aplicação prática imediata.

O mercado de trabalho perpetua esse paradoxo. Mesmo vagas "junior" exigem experiência prévia, buscando profissionais com experiência em avaliação de vulnerabilidades, conhecimento prático de divulgação responsável, um portfólio demonstrável de descobertas de segurança e compreensão da relevância para o negócio.

A Filosofia CVE-Hunters

Nasceu da premissa simples:

“Cansamos de esperar por oportunidades, então criamos as nossas.”

O diferencial está na seleção de projetos de código aberto, com base em benefícios sociais reais, priorizando projetos utilizados por organizações que atendem populações vulneráveis.

1ª Onda – Projeto WeGIA

Em novembro de 2024, com apenas três pessoas (Natan e dois estudantes), eles escolheram #WeGIA como seu primeiro alvo. WeGIA é uma plataforma brasileira de código aberto utilizada por programas sociais e ONGs, incluindo orfanatos, casas de repouso e centros de adoção. A escolha fez sentido: tinha relevância social direta, código acessível, desenvolvedores brasileiros facilitando a comunicação e era um sistema crítico para proteger dados de populações vulneráveis. A 1ª Onda resultou em 48 CVEs publicados, com uma distribuição impressionante:

  • 34 Cross-Site Scripting (70,8%);
  • 8 SQL Injection (16,7%);
  • 2 Broken Access Control (4,2%);
  • 1 Remote Code Execution (2,1%);
  • 1 Open Redirect (2,1%);
  • 1 Denial of Service (2,1%);
  • 1 CSRF em ação sensível (2,1%).

Um destaque especial foi Elisangela Silva de Mendonça, aluna que descobriu sozinha 29 dos 48 CVEs (60% do total). Sua trajetória exemplifica perfeitamente o potencial do projeto: ela começou como iniciante em pesquisa de vulnerabilidades, desenvolveu uma metodologia de análise sistemática, conquistou seu primeiro emprego em cibersegurança e hoje serve como referência para novos membros do grupo.

Os impactos foram além do número de CVEs publicados, criando ondas de mudança real na comunidade. Os dois primeiros alunos conquistaram seus primeiros empregos em cibersegurança, validando na prática que a experiência adquirida foi reconhecida pelo mercado. Simultaneamente, os desenvolvedores do WeGIA não apenas corrigiram as vulnerabilidades descobertas, como também implementaram as melhores práticas de segurança em todo o projeto. O que começou como uma colaboração pontual evoluiu para um relacionamento duradouro, com outros pesquisadores independentes se sentindo inspirados a contribuir para o projeto.

2ª Onda – Projetos Portabilis

A validação inicial abriu caminho para uma expansão ambiciosa. Com 10 novos alunos, a equipe identificou seu próximo desafio: #Portabilis, uma empresa que desenvolve softwares de código aberto para gestão educacional.

i-Educar representa uma história impressionante em termos de alcance social:

  • O sistema conecta mais de 80 municípios brasileiros;
  • Gerencia 2.050 escolas;
  • Impacta 500.000 alunos.

Até mesmo a Força Aérea Brasileira o utiliza para simulações críticas.

A descoberta da CVE-2025-8789 ilustra como vulnerabilidades simples podem ter consequências devastadoras.
Essa falha permitiu que usuários sem privilégios alterassem as notas dos alunos por meio de chamadas diretas à API. A ironia era cruel: enquanto a interface bloqueava ações não autorizadas, as APIs operavam como portas abertas, validando apenas se o usuário estava logado, ignorando suas permissões específicas. O processo revelou a metodologia sistemática desenvolvida: análise de fluxos limitados, interceptação de solicitações, testes de bypass e confirmação da verdadeira gravidade.

Os resultados da 2ª Onda refletem escala e profundidade:

  • 42 vulnerabilidades no i-Educar;
  • 19 no i-Diário;
  • 8 CVEs publicados;
  • 53 vulnerabilidades no processo de divulgação.

3ª Onda – Diversificação e Maturidade

A 3ª Onda marca uma maturidade notável, gerenciando oito projetos simultâneos, desde a continuidade com WeGIA e i-Educar até a diversificação para Centreon, Grav, Indico e Scada-LTS. Entre todas as descobertas, o trabalho no Scada-LTS se destaca como um momento quase cinematográfico. Este sistema, usado pela Usina de Itaipu para simular ataques cibernéticos à infraestrutura crítica, revelou duas vulnerabilidades XSS (CVE-2025-7728 e CVE-2025-7729) em menos de um minuto, demonstrando a eficiência refinada da metodologia.

Metodologia Estruturada

O processo inclui:

  • Seleção criteriosa (1 a 2 dias) avaliando o impacto social e a capacidade de resposta do mantenedor;
  • Reconhecimento aprofundado (3 a 5 dias) mapeando a arquitetura e configurando ambientes;
  • Avaliação intensiva de vulnerabilidades (15 a 20 dias) combinando análise estática com testes dinâmicos;
  • Desenvolvimento de PoC (2 a 3 dias);
  • Divulgação responsável (5 a 10 dias), envolvendo diplomacia cuidadosa.

O kit de ferramentas evoluiu organicamente: SonarQube e Semgrep para análise estática, Burp Suite e OWASP ZAP para testes dinâmicos e scripts Python personalizados para lacunas específicas. Relatórios via VulnDB, Alertas de Segurança do GitHub e modelos padronizados garantiram consistência e aumentaram as taxas de aceitação.

Cada onda trouxe desafios únicos. A diversidade tecnológica exigiu expertise especializada em tempo recorde. Os desafios interpessoais, a falta de cooperação entre mantenedores, os tempos de resposta variáveis e os diferentes níveis de maturidade em segurança ensinaram paciência estratégica e gestão de stakeholders. Duas lições se mostraram fundamentais:

  • Documentação detalhada com capturas de tela e uma articulação clara da relevância para o negócio;
  • A colaboração amplifica exponencialmente os resultados por meio de revisão por pares e mentoria.

Legado Educacional e Comunitário

O legado educacional desenvolveu habilidades técnicas impressionantes, análise sistemática de código, compreensão intuitiva de superfícies de ataque, desenvolvimento de PoCs funcionais e habilidades profissionais, como gerenciamento de múltiplos projetos, relacionamento com stakeholders e documentação profissional. Os resultados validaram a hipótese original: vários membros conseguiram seus primeiros empregos com portfólios demonstráveis e reconhecimento da comunidade por meio de CVEs públicos. A contribuição para a comunidade foi além da correção de vulnerabilidades, estabelecendo práticas de segurança em projetos que antes as ignoravam, inspirando grupos semelhantes e demonstrando a viabilidade de modelos colaborativos.

O Futuro dos CVE-Hunters

O futuro inclui:

  • Expansão por meio de parcerias com Universidades;
  • Um programa formal de mentoria;
  • O desenvolvimento de ferramentas proprietárias.

Para aspirantes a pesquisadores de segurança, as lições são claras:

  • Foco inicial em um único projeto com impacto mensurável;
  • Dedicação de tempo suficiente, documentação meticulosa;
  • Compromisso inabalável com a divulgação responsável.

Os educadores podem revolucionar o ensino substituindo simulações pelo engajamento com projetos reais. A comunidade de código aberto pode melhorar os resultados estabelecendo canais de relatórios claros e promovendo uma cultura de segurança em primeiro lugar.

Conclusão

O projeto CVE-Hunters democratizou o acesso à expertise em segurança do mundo real, criando um caminho replicável para qualquer pessoa que queira fazer a diferença.

Os números:

  • 116 CVEs publicados;
  • 20 membros ativos;
  • Milhões de usuários impactados!

Quantifique o sucesso, mas o efeito qualitativo é mais significativo:

Você não precisa esperar por oportunidades quando pode criar as suas.

"Não estávamos apenas procurando bugs, estávamos procurando uma maneira de contribuir."

E eles contribuíram profundamente para seus próprios futuros, para a segurança de sistemas que protegem populações vulneráveis e para a próxima geração de pesquisadores de segurança, munidos de um roteiro testado e comprovado para transformar a curiosidade em carreira.

Referência

Apresentação "From Noobz to Vulnerability Researchers: The Journey of the CVE-Hunters" - DEF CON 33, 2025.

Autor da Apresentação

Natan Maia Morette

Artigo escrito por

Elisangela Mendonça

Colaboradora

Karina Gante

Por: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy